Это ответ на статью Дениса Куликова о двухэтапной аутентификации.
Меня часто спрашивают, как защитить свой аккаунт «ВКонтакте» от угона, но при этом не понимают, что защита нужна не только для ВК, но и для почты тоже.
Рассмотрим ситуацию, когда вашими домашними страничками являются почта и страничка в соцсети. Это значит, что максимум информации о вас сосредоточено там. Фотографии, геолокация, личная переписка, ссылки, контакты, пароли от сайтов и резервные коды — всё сосредоточено здесь. На емейл и телефон мы регистрируем другие аккаунты, поэтому головная почта должна быть защищена максимально хорошо.Рассмотрим некоторые моменты.
1) Gmail — лучшая почта
Почему? Потому что она сильнее защищена, потому что она хранит ваши данные в зашифрованом виде, потому что она одна из первых внедрила технологию написания письма в одном окне браузера. Потому что Гугл — это огромная корпорация, с большим количеством профессионалов и хорошими руководителями, которые поддерживают здоровый климат в компании и заботятся о своих сервисах. И почта — один из важнейших. Есть неписаные истины, произросшие из небольших заметочек и кулуарных шуточек айтишников, которые потихоньку начинают осознавать как пользователи, так и российские компании.
Когда у вас в резюме указана почта mail.ru — это частично рисует ваш портрет. Это портрет далекого от интернет-мира человека, который довольствуется огромным количеством назойливой рекламы, плохой техподдержкой и безвкусной вёрсткой сайтов.
В моей основной гугл-почте настроен сбор писем с других почт (яндекс, мейл). Недавно мне начали приходить уведомления, что некий юзер зарегистрировался в твиттере, использовав в качестве логина мою почту. Что это значит? Аккаунт не используется 4 года и мейл.ру как бы "списывает" его, отправляет в архив покинутых. На вопросы, почему так начало происходить, никто из техподдержки мне не ответил. И это была не единичная ошибка конкретного лица, поскольку аналогичные письма приходили мне и с других почт, зарегистрированных на мейл.ру. В почте мейл. ру на данный момент нет аутентификации через мобильное приложение.
2) использование lastpass для паролей;
3) xmarks для заметок;
4)adblock против флеш- и баннерной рекламы.
Вконтакте и двухэтапная аутентификация
Как мы помним, сначала на вк можно было зарегистрироваться с помощью почты и пароля, затем для регистрации потребовался номер телефона.У моего друга недавно был случай увода аккаунта. К сожалению, к аккаунту оказался привязан действующий паблик, злоумышленник это увидел и начал требовать деньги за восстановление доступа. А чтобы показать серьезность своих угроз, удалил посты со стены за полгода.
Почему такая ситуация произошла? Тот аккаунт оказался зарегистрированным на старую почту, к которой получить доступ спустя много лет невозможно, а также он был привязан к недействующему номеру телефона. Ну и пароль там был уровня qwerty123. Аккаунт выкупили, история закончилась благоприятно, но заставила хозяина аккаунта задуматься: можно быть бесконечно крутым в одном деле, разбираться в сложнейших вещах, но за пару секунд потерять плод своих многолетних стараний. А все из-за полнейшей сетевой безграмотности.
Как защитить свой аккаунт вконтакте? На примере ошибок покажем, как делать не нужно. Придумайте пароль. Скорее всего, это будет что-то вроде kolbasa1488 или gal4onok1993. Привяжите действующий телефонный номер.
Думаете, все ок? Такой пароль можно подобрать с помощью программы меньше, чем за сутки. Никто не будет вникать в вашу психологию и допытываться фамилии вашей матушки, он просто запустит сервис и через несколько часов будет разглядывать ваши альбомы. Но вы скажете, что привязали номер. Да, но его можно изменить, пока вы не догадались, что произошло, и привязать новый. Если на вашем акке была сеть пабликов, можете начинать плакать.
Хорошо, скажете вы, давайте я придумаю нечитаемый длинный и незапоминаемый пароль. Подойдет? Да, такое сгодится, но если вы запишете его в блокнотик и зароете среди картинок, которые на все случаи жизни, однажды наступит момент, что вы сами не сможете попасть в свой аккаунт. Порча жесткого диска, потеря телефона или сим-карта, зарегистрированная не на вас, а также с истекшим сроком годности, стершиеся внезапно куки браузера — и у вас уже неприятности. Да и каждый раз вводить такой пароль — мало хорошего.
Для этого нам пригодится сервис lastpass. Начните им пользоваться. Он существует, понятное дело, и в виде сайта-хранилища (где ваши данные лежат в зашифрованном формате), а также в виде плагинов к множеству браузеров. Такой плагин поможет вам не вводить каждый раз пароль к сайту. В идеале, вы придете к тому, что будете помнить 1 единственный важный пароль ну и парочку других, которые легко будет подсмотреть в хранилище.
Для ваших закладочек под рецептики, магазины, блоги и порно удобно пользоваться сервисом xmarks. Он сохраняет не только ваши сайты, помеченные звездочкой, он запоминает состояние вашего браузера на конкретную дату. В итоге вы придете к тому, что ваши структурированные папки с закладками будут надежно сохранены и доступны с любого устройства, где есть интернет. При переезде на новый ноут или просто при переустановке операционной системы вам не придется делать блокнотик со ссылочками. Также xmarks сохраняет вид панели быстрого доступа.
Итак, как правильно жить в интернете?
Нужно иметь надежную почту, которая привязана к действующему номеру телефона и которая требует аутентификации через мобильное приложение. Нужно иметь аккаунт lastpass, чтобы не записывать безумное количество логинов и паролей в блокнотик с жесткого диска. Кстати, где вы храните данные платежных пластиковых карт? Тоже в блокнотике? Нужно подключать к мобильной аутентификации все значимые для вас сервисы.
Дополнительные советы: либо генерируйте пароли чтобы получалось jgsdkds8455dDE77,либо делайте к читаемым паролям маленькие приставочки, например, базовый пароль kukuEto7ya, тогда для вконтакте он будет vk_kukuEto7ya, для скайпа sk_kukuEto7ya, для твиттера tw_kukuEto7ya и так далее.
Допустим, вы установили на свой смартфон приложение google authenticator и подключили к нему свой аккаунт вконтакте. Как же вы окажетесь защищены? Смысл в том, что каждый раз, когда вы попытаетесь войти, вас будут спрашивать код из приложения, который действует 30 секунд. Никто не сможет войти на сайт, если у него нет вашего смартфона. Что делать, если смартфон утерян? Для этого, каждый сайт выдает резервные коды, с помощью которых можно было бы отвязать двухэтапную аутентификацию. Где их хранить? Советую оставить их в качестве черновика письма в почте, а также сохранить в виде защищенной заметки в сервисе lastpass.
И помните главное, если защитить только почту, или только вк, или только ластпасс — надежности не будет. Используйте комбо.
П.С. Чтобы не вводить мучительные коды каждый раз, поставьте галочку «доверять этому браузеру». Кстати, нечищенные куки можно украсть (вместе с паролями). Поэтому убедитесь, что ваш кэш чистится всякий раз, когда вы входите в систему (например, используйте программу ccleaner с автозапуском при входе в ОС).
П.П.С. Я понимаю, что статейка в духе опиума для никого, потому что чайникам будет настроить всё очень трудно, а айтишники посмеются на бытовушностью языка и невежеством в терминах. Но всё же надеюсь, что народ заинтересуется и самостоятельно изучит представленные сервисы. Если вы разбираетесь в шифровании данных и можете ответить на вопрос «Зачем использовать google authenticator, если аккаунт привязан к действующему номеру телефона?» содержательнее чем "ну так просто надежнее", пишите мне, подправим пост.
Ммм, доверять свои пароли от всех аккаунтов онлайн-хранилищу. So bezopasno. Such umno.
Комментарий недоступен
А что вы предлагаете как альтернативу?
KeePass + dropbox
С каких пор Dropbox не является онлайн хранилищем.
У KeePass база данных паролей шифруется на компьютере и дропбокс не сможет их расшифровать, а кто знает что там у ластпасса за алгоритмы.
Я отвечал Тимуру, а не Вадиму, так что LastPass тут не причем.
Ну да, а если вы ещё и русский, то вы пить много водка, любить медведи и играть балалайка.
Не понимаю, зачем вы пиарите тут всякие хранилища пассвордов если у хрома и у сафари есть встроенное?
Возможность использования нескольких браузеров.
они просто привыкли пароли с бумажки переписывать
Удобнее управление, если надо иметь несколько акков на одном сайте, генераторы паролей, хранилище не теряется даже если у вас неожиданно полетела система/сгорел комп, возможность использование одних баз на разных платформах и устройствах. В какой то степени лучше защита, хотя тут возможны варианты.
На самом деле стоит один раз попробовать и уже не особо захочется работать со стандартными запоминалками паролей.
Комментарий недоступен
пароли можно запросто посмотреть в настройках браузера. сначала они скрыты, но при нажатии на кнопочку они показываются
Я тут обнаружил, что некоторые сайты хранят пароли юзеров в открытом виде. А значит, получив один такой пароль будут скомпрометированы все остальные. Поэтому я пошёл дальше и каждый раз делаю хэш такого пароля - так что получив ваш пароль на одном сайте, изначальную фразу злоумышленнику будет сложно восстановить. И чтобы избавиться от лишнего гемора, сделал скрипт, который все это дело автоматизирует - http://pass.wawan.pro.
Не сочтите за пиар, надеюсь, кому-нибудь будет полезно.
Ещё не мешать проверить образцы паролей вот тут: https://dl.dropboxusercontent.com/u/209/zxcvbn/test/index.html
Только вот в последних версиях браузеров не очень хорошо работает.
Мне интересно, а что если злоумышленник узнает изначальную фразу?
Это не отменяет других мер безопасности.
Если злоумышленник узнает изначальную фразу, он же может просто ввести название сайта и саму фразу, чтобы узнать пароль?
Конечно нет, потому что приставку придумываете вы сами. Сайт фейсбук, приставка fb_ самая логичная, но не факт, что будет именно она. Это способ просто для себя на парочке сайтов сделать запоминаемый пароль и чтобы он был уникальным, не использовался еще где-то.
Для параноиков также могу порекомендовать keepass. В этом менеджере паролей для доступа к вашей базе данных можно (помимо пароля) поставить key file, который, например, можно носить с собой на флешке.
То есть, вы не получите доступа к базе данных, пока не укажете программе этот файл.
Саму базу данных с программой можно держать на той же флешке, к слову.
Никогда не понимал зачем использовать lastpass или прочие подобные онлайн сервисы, а значит доверять в определенной степени им свои данные, когда есть няшный, опенсорсный keepass.
Опенсорсность в этом плане - главное преимущество keepass. Оно гарантирует, что в программе не будет никаких бэкдоров и прочей шелухи от хитрого разработчика, а также поможет быстрее находить уязвимости сообществом.
Нужно быть профессионалом, чтобы найти хорошо спрятанные закладки, да и время свое опять же тратить. Надежда же на "сообщество" в целом, не особо лучше веры в проприетарное ПО.
Не несите чепуху.
В lastpass удобно то, что не нужно искать, копировать, вставлять пароли. Он делает это сам, когда находишься на соответствующем сайте. Умеет ли это делать keepass ?
Лично я, лучше 1Passworв, ничего не видел.
*1Password
Йеп. И не только сайты, но и обычные приложения. Не скажу за все системы и браузеры, но думаю на большинство есть.
Умеет через расширения для браузеров
А почему все называют какие-то страные lastpass/keypass, и никто (кроме Саши Баранова) не упоминает 1Password?
Наверное, потому, что он платный и недешевый.
Есть ещё Password Memory
У кого сколько почтовых ящиков, например? (У меня больше 5 активных).
у меня 11. писал класс на ПХП для отправки емейл. зарегистрировал куча для проверки верно ли приходит. а потом как-то начал пользоваться
Комментарий недоступен
а еще есть отличный сервис
http://getpocket.com
Вы еще Pinterest посоветуйте для паролей
А еще gmail читают западные спецслужбы, а mailru отечественные. Вряд ли вас беспокоят парни из Форта Мид большем, чем полковник Петров, если вы живете в России.
я видимо совсем туплю, но где в gmail прявязывать свой номер телефона? где эта вкладка?
В настройках аккаунта гугл
https://accounts.google.com/b/0/SmsAuthSettings#devices
Забавно, пост про безопасность и рекомендация использовать LastPass, которые пароли хранит у себя (да-да, шифрует, но где гарантии, что ключей у них нет?).
1Password в разы лучше (хранит базу локально, как минимум, а ещё очень удобен). Если смущает цена — то нужно ответить на вопрос, стоит ли личная информация 3 тысяч рублей.
Было бы здорово вообще убедить людей защищать свои данные. А потом они уже смогут разбираться в сортах. Если захотят.
я вижу, вы сдержали свое слово, которое дали в комментариях в ВК к предыдущей статье